Sinds 2022 is de Europese richtlijn NIS2 van kracht, met als doel de cyberbeveiliging binnen de EU te versterken. Deze richtlijn stelt strengere eisen aan de digitale weerbaarheid van organisaties. In 2026 wordt NIS2 in Nederland opgenomen in nationale wetgeving, waardoor veel organisaties verplicht worden om maatregelen te nemen, risico’s in kaart te brengen en incidenten te melden. Wat betekent dat voor jouw werk als informatieprofessional?
Raymond Slot
Wat is NIS2 en waarom is het belangrijk?
NIS2 is een voortzetting van eerdere cybersecurityrichtlijnen vanuit de Europese Unie. De voorganger, NIS1, was een eerste stap en bestaat al sinds 2016. De impact van NIS2 is aanzienlijk breder dan die van NIS1. Volgens Raymond is dat niet vreemd: “Het cybersecuritylandschap is sinds 2016 sterk veranderd. Je hoort tegenwoordig bijna elke week wel iets op het nieuws over een grote hack. En het beeld van een tiener die op een zolderkamer zit te hacken, klopt al lang niet meer. Er zijn steeds meer professionele organisaties, soms zelfs gesponsord door andere overheden, die er fulltime mee bezig zijn. Het is een soort wapenwedloop geworden tussen aanval en verdediging.”
Met NIS2 wil de EU de cybersecurity in Europa versterken. Dat gebeurt vanuit drie doelen:
- Meer zicht krijgen op wat er binnen Europa gebeurt op het gebied van cybersecurity.
- Voorkomen dat er hacks plaatsvinden.
- De impact van incidenten zoveel mogelijk beperken.
Wat verandert er?
In Nederland wordt NIS2 in het tweede kwartaal van 2026 geïmplementeerd via de Cyberbeveiligingswet (CBW) en de Wet weerbaarheid kritieke entiteiten (Wwke). Daardoor gaat de richtlijn gelden voor alle ‘essentiële entiteiten’. Dat zijn bijvoorbeeld organisaties met minimaal 250 medewerkers of een omzet van meer dan 50 miljoen euro. Ook overheidsinstanties zijn essentiële entiteiten en vallen dus onder NIS2.
Wat betekent dit concreet? Raymond legt uit: “Deze organisaties moeten onder andere een risicoanalyse uitvoeren op hun informatiesystemen. Daarbij staan twee vragen centraal: hoe groot is de kans dat er iets misgaat en wat is de impact als het misgaat?” Daarnaast moeten de organisaties ook kijken naar de maatregelen die zij kunnen nemen om de cybersecurity te vergroten en is er een verplichting om aanvallen en incidenten te melden. Raymond: “Dat betekent dat je als organisatie zicht moet hebben op wanneer een aanval heeft plaatsgevonden en wat er precies is gebeurd of buitgemaakt.”
Voor die meldplicht gelden strenge eisen. Bijvoorbeeld over hoe snel een incident gemeld moet worden. Organisaties die zich daar niet aan houden, kunnen boetes krijgen. Raymond: “Er zijn voorbeelden van bedrijven die een jaar lang gehackt waren, zonder dat ze het doorhadden. De nieuwe, strengere regels van NIS2 moeten dat soort situaties voorkomen.”
Praktische tips voor optimale voorbereiding op NIS2
NIS2 vraagt dus best wel wat van organisaties. Hoe bereid je je hier zo goed mogelijk op voor? Raymond deelt drie praktische tips:
- Investeer in bewustwording: Ongeveer 50% van de aanvallen verloopt via gebruikers. Zorg daarom voor brede bewustwording van cybersecurityrisico's binnen de organisatie, bijvoorbeeld via (verplichte) online cursussen, richtlijnen voor veilig internet- en e-mailgebruik of een specifieke cybersecurity-helpdesk.
- Verplaats je in de hacker: waar zou die in geïnteresseerd kunnen zijn binnen jouw organisatie? Dát moet je extra beveiligen met passende securitymaatregelen.
- Zorg dat je kunt ingrijpen als er iets misgaat. Dit vraagt om duidelijke processen, zorgen dat iedereen weet wat er moet gebeuren en veel oefenen.
Wil je meer weten over dit onderwerp?
Schrijf je dan in voor de tweedaagse training NIS2 in de informatiehuishouding, die start op 10 juni. Hierin verdiep je je in de cruciale rol van NIS2 in het veilig houden van de netwerken die onze maatschappij en economie draaiende houden.
Tijdens de training gaan we dieper in op het belang van deze richtlijn voor het informatiebeheer en hoe organisaties zich kunnen voorbereiden op de nieuwe eisen die eraan gesteld worden.